ARTICLE
5 February 2026

EU-Compliance: KI-gestützte Medizinische Wearables Am Schnittpunkt Zwischen MDR, KI-Verordnung, DSGVO Und Data Act

FP
FABIAN PRIVACY LEGAL GmbH

Contributor

FABIAN PRIVACY LEGAL GmbH logo
We are a boutique law firm specializing in data, privacy and data protection laws and related issues, information security, data and privacy governance, risk management, program implementation and legal compliance. Our strengths are the combination of expert knowledge and practical in-house experience as well as a strong network with industry groups, privacy associations and experts around the world.
Explore Firm Details
KI-gestützte medizinische Wearables revolutionieren das Gesundheitswesen, indem sie eine kon-tinuierliche physiologische Überwachung, klinische Erkenntnisse in Echtzeit und zunehmend per-sonalisierte Interventionen ermöglichen.
Switzerland Privacy
Daniela Fabian and Domonkos Mester-Csiki
Daniela Fabian’s articles from FABIAN PRIVACY LEGAL GmbH are most popular:
  • with readers working within the Business & Consumer Services and Telecomms industries
FABIAN PRIVACY LEGAL GmbH are most popular:
  • within Food, Drugs, Healthcare and Life Sciences topic(s)
  • with Senior Company Executives and HR

Zusammenfassung

KI-gestützte medizinische Wearables revolutionieren das Gesundheitswesen, indem sie eine kontinuierliche physiologische Überwachung, klinische Erkenntnisse in Echtzeit und zunehmend personalisierte Interventionen ermöglichen. Ihrem transformativen Potenzial steht jedoch ein komplexes und vielschichtiges regulatorisches Umfeld gegenüber. Ein einziges Wearable kann gleichzeitig Compliance-Verpflichtungen unter der EU-Verordnung über Medizinprodukte (MDR), der Verordnung über künstliche Intelligenz der EU (KI-Verordnung), der EU Datenschutz-Grundverordnung (DSGVO) und dem EU Data Act (Data Act) auslösen und je nach den beteiligten Parteien und angebotenen Diensten auch in den Anwendungsbereich der NIS-2-Richtlinie fallen. Jedes dieser Regelwerke reguliert einen anderen Aspekt des Lebenszyklus des Geräts, von klinischer Sicherheit und KI-Governance bis hin zu Datenschutz, Datenzugang und Cybersicherheit, doch sie alle müssen konsequent eingehalten werden.

Dieser Artikel untersucht das Zusammenspiel der Regulierungen anhand einer konkreten Fallstudie: einem tragbaren EKG-Sensor, der mit einem KI-gestützten Algorithmus zur Erkennung von Herzrhythmusstörungen und einer verbundenen Cloud-Umgebung arbeitet. Er skizziert die wichtigsten Verpflichtungen, die sich aus den einzelnen Regelwerken ergeben, analysiert Bereiche mit Synergien sowie regulatorische Spannungsfelder und erläutert die extraterritoriale Anwendbarkeit, die Nicht-EU-Hersteller in den Geltungsbereich einbezieht, wenn ihre Geräte in der EU in Verkehr gebracht oder verfügbar gemacht werden oder von Patienten oder Gesundheitsfachkräften in der EU verwendet werden.

Aufbauend auf den Erkenntnissen der vorangehenden Publikation «Umsetzung der KI-Verordnung der EU in einem multinationalen Medizintechnik-Unternehmen», zeigt der vorliegende Text einen pragmatischen Weg auf, wie MedTech-Unternehmen umfassende Compliance sicherstellen können. Dazu gehören die Harmonisierung der Konformitätsprozesse gemäss MDR und KI-Verordnung, die Einbettung der Anforderungen der DSGVO und des Data Act in ein einheitliches Qualitäts- und Compliance-Managementsystem, die Konsolidierung von Risikobewertungen und technischer Dokumentation sowie die Einrichtung einer funktionsübergreifenden Governance zur Überwindung organisatorischer Silos. Die Analyse zeigt, dass integrierte Compliance nicht nur betrieblich effizient, sondern auch unerlässlich ist, um sicherzustellen, dass KI-gestützte Medizinprodukte sicher, transparent, vertrauenswürdig und an das sich stetig wandelnde digitale Regulierungsumfeld der EU angepasst sind.

  1. Einleitung

KI-gestützte medizinische Wearables stehen im Zentrum eines tiefgreifenden Wandels im Gesundheitswesen. Sie ermöglichen eine kontinuierliche physiologische Überwachung, klinische Erkenntnisse in Echtzeit und personalisierte Interventionen, die alle durch miteinander verbundene Sensoren, Cloud-Plattformen und maschinelles Lernen unterstützt werden. Diese Konvergenz von Medizintechnik, künstlicher Intelligenz und datengesteuerter Gesundheitsversorgung verspricht bessere Behandlungsergebnisse für Patienten, führt aber auch zu einer beispiellosen regulatorischen Komplexität.

Ein einziges KI-gestütztes medizinisches Wearable kann gleichzeitig Pflichten unter mehreren EU-Regelwerken auslösen, darunter insbesondere:

  • Verordnung über Medizinprodukte (MDR) – regelt Sicherheit, Leistung, Konformitätsbewertung, CE-Kennzeichnung und Überwachung nach dem Inverkehrbringen.
  • Verordnung über künstliche Intelligenz (KI-Verordnung) – klassifiziert KI-Systeme, die für medizinische Zwecke eingesetzt werden, als Hochrisiko-Systeme und schreibt lebenszyklusbasierte Governance-, Transparenz- und Risikomanagementverpflichtungen vor.2
  • Datenschutz-Grundverordnung (DSGVO) – regelt die Verarbeitung sensibler Gesundheitsdaten, die vom Gerät generiert und analysiert werden.
  • Data Act – schreibt Datenzugang, Interoperabilität und faire Regeln für den Datenaustausch für vernetzte Produkte und damit verbundene Dienste vor.

Darüber hinaus kann die NIS-2-Richtlinie Anwendung finden, wenn der Hersteller oder ein unterstützender Dienstleister, wie z. B. ein Cloud-Anbieter, als wesentliche oder wichtige Einrichtung eingestuft wird, wodurch Verpflichtungen zum Risikomanagement und zur Meldung von Vorfällen entstehen.

Für Entwickler und Compliance-Teams besteht die Herausforderung daher nicht mehr darin, jedes Gesetz für sich zu verstehen, sondern deren Anforderungen in eine kohärente, skalierbare und betrieblich effiziente Compliance-Architektur zu integrieren. Dieser Artikel baut auf dem vorgängig von FABIAN PRIVACY LEGAL GmbH veröffentlichten Text «Umsetzung EU KI-Verordnung der EU in einem multinationalen Medizintechnik-Unternehmen» auf und erweitert dessen Erkenntnisse auf den sich rasch wandelnden Bereich der KI-gestützten medizinischen Wearables.

Das Ziel dieses Artikels ist es:

  • anhand einer realistischen Fallstudie zu erläutern, wie die relevanten EU-Vorschriften auf medizinische Wearables anzuwenden sind;
  • die wichtigsten Verpflichtungen unter jedem Regelwerk darzulegen;
  • Überlappungen, Synergien und regulatorische Spannungsfelder zu analysieren; und
  • einen pragmatischen Weg zu einer integrierten, regelungsübergreifenden Compliance aufzuzeigen.
  1. Beschreibung der Fallstudie: KI-gestütztes Wearable zur Echtzeit-Herzfrequenzüberwachung

Ein MedTech-Unternehmen entwickelt einen tragbaren EKG-Sensor, der kontinuierlich den Herzrhythmus des Patienten aufzeichnet und die Daten an eine dazugehörige mobile App und ein sicheres Cloud-Backend überträgt. Das Herzstück bildet ein KI-gestütztes System, das EKG-Muster in Echtzeit analysiert, um mögliche Arrhythmien zu erkennen. Wenn das System eine Unregelmässigkeit feststellt, benachrichtigt es automatisch sowohl den Patienten als auch den behandelnden Arzt, sodass eine schnelle klinische Beurteilung ohne persönlichen Termin möglich ist.

Obwohl das Gerät aus Patientensicht einfach erscheint, arbeitet es innerhalb eines ausgeklügelten Systems vernetzter Komponenten und Akteure. Der Hersteller ist nicht nur für das physische Gerät verantwortlich, sondern auch für das KI-System, die mobile Schnittstelle und die Backend-Infrastruktur. Jedes dieser Elemente muss mit geeigneten Kontrollen in Bezug auf Datenverwaltung, Cybersicherheit und Risikomanagement ausgestattet sein. Die Patienten interagieren kontinuierlich mit dem Wearable und erhalten klinisch relevante Benachrichtigungen. Die Ärzte fungieren unterdessen als Betreiber des KI-Systems gemäss KI-Verordnung und als professionelle Anwender des Medizinprodukts. Sie müssen sich auf die Genauigkeit, Robustheit und Transparenz der KI-generierten Warnmeldungen verlassen können, die ihre klinischen Entscheidungen unterstützen.

Die Cloud-Infrastruktur spielt eine zentrale Rolle für den Betrieb des Systems. Sie ermöglicht Echtzeit-KI-Inferenz, verwaltet die Speicherung sensibler Gesundheitsdaten und führt Protokolle, die für die Rückverfolgbarkeit, Prüfung und Überwachung nach dem Inverkehrbringen erforderlich sind. Wenn ein Teil des KI-Systems von einem externen Anbieter bereitgestellt wird, muss der Hersteller sicherstellen, dass die Zusammenarbeit, die Qualität der Dokumentation und die kontinuierliche Transparenz während des gesamten Lebenszyklus des Systems durch vertragliche und technische Vereinbarungen gewährleistet werden. Für Unternehmen mit Sitz ausserhalb der EU kommen Bevollmächtigte, Einführer und Händler hinzu, die eine weitere Verantwortungsebene bilden, um sicherzustellen, dass das Produkt alle Anforderungen für den Vertrieb in der EU erfüllt und auch nach seiner Inbetriebnahme konform bleibt.

Die mit diesem System verbundenen Datenflüsse verdeutlichen den für moderne digitale Gesundheitslösungen typischen Grad an Konnektivität. Das Wearable erfasst rohe EKG-Signale, die von der mobilen App vorverarbeitet und verschlüsselt werden, bevor sie sicher an die Cloud übertragen werden. Das KI-Modell analysiert die Daten zur Erkennung von Arrhythmien, während detaillierte Systemprotokolle seine Funktionsweise dokumentieren und die behördliche Aufsicht unterstützen. Ärzte haben Zugriff auf die Risikowarnungen und alle relevanten Kontextinformationen, und Patienten können je nach ihren anwendbaren gesetzlichen Rechten historische Daten einsehen oder exportieren.

Grenzüberschreitende Datenflüsse sind oft unvermeidbar, insbesondere wenn Cloud-Hosting oder KI-Entwicklungsaktivitäten ausserhalb der EU stattfinden. In solchen Fällen unterliegen internationale Transfers von Gesundheitsdaten den strengen Anforderungen der DSGVO. Die KI-Verordnung und der Data Act finden auch extraterritoriale Anwendung, d. h. sie gelten für Nicht-EU-Unternehmen, wenn KI-Systeme in der EU in Verkehr gebracht werden oder wenn ihre Ausgaben oder damit vernetzte Produkte von Personen in der EU genutzt werden. Dies erfordert robuste vertragliche Schutzmassnahmen, technische Sicherheitsmassnahmen und eine klare Zuweisung von Verantwortlichkeiten, um die Einhaltung der Vorschriften in allen beteiligten Rechtsordnungen sicherzustellen.

Innerhalb dieses Systems sind die regulatorischen Herausforderungen erheblich. Der Hersteller muss die Anforderungen der MDR bezüglich Gerätesicherheit, Leistung, klinische Bewertung, Risikomanagement und Überwachung nach dem Inverkehrbringen mit den Erwartungen der KI-Verordnung hinsichtlich Transparenz, Datenverwaltung, Robustheit, Protokollierung und menschlicher Aufsicht in Einklang bringen. Gleichzeitig erlegt die DSGVO strenge Pflichten für die Verarbeitung von Gesundheitsdaten auf, darunter Datenminimierung, Sicherheitsmassnahmen, rechtmässige Verarbeitung und die gesamte Bandbreite der Rechte der betroffenen Personen. Der Data Act führt zusätzliche Pflichten hinsichtlich des Nutzerzugangs zu den vom Gerät generierten Daten, Interoperabilität und fairer Vertragsbedingungen ein. Cybersicherheitsanforderungen, die möglicherweise auch Verpflichtungen unter NIS 2 umfassen, erhöhen die Komplexität zusätzlich, insbesondere im Hinblick auf die Meldung von Vorfällen im Bereich der Medizinprodukteüberwachung, die Meldung schwerwiegender Vorfälle im Zusammenhang mit KI und von Verletzungen des Schutzes personenbezogener Daten. Um sicherzustellen, dass die Dokumentations-, Risikobewertungs- und Überwachungsprozesse unter all diesen verschiedenen Regelwerken aufeinander abgestimmt bleiben, ist ein integrierter und proaktiver Ansatz erforderlich.

Weshalb all diese EU-Gesetze auch für Hersteller ausserhalb der EU gelten

Die EU-Vorschriften bezüglich Medizinprodukte, KI-Systeme, personenbezogene Daten und vernetzte Produkte wurden bewusst so konzipiert, dass sie Nutzer in der EU schützen, unabhängig davon, wo die Technologie entwickelt oder betrieben wird. Für das Wearable zur Herzfrequenzüberwachung aus unserer Fallstudie gelten alle wichtigen EU-Gesetze, da das Gerät, die damit verbundenen digitalen Dienste und die KI-generierten Warnmeldungen für die Verwendung durch Patienten und medizinisches Fachpersonal in der EU bestimmt sind.

Die MDR gilt immer dann, wenn ein Medizinprodukt in der EU in Verkehr gebracht wird, unabhängig vom Sitz des Herstellers. Auch die KI-Verordnung hat eine weitreichende territoriale Geltung: Sie gilt nicht nur für KI-Systeme, die in der EU vermarktet werden, sondern auch für Systeme, deren Ausgaben, wie z. B. Arrhythmie-Warnungen, von Personen in der EU genutzt werden. Die DSGVO gilt immer dann, wenn personenbezogene Daten von Personen in der EU verarbeitet werden, einschliesslich der kontinuierlichen EKG-Überwachung, selbst wenn der Verantwortliche oder der Auftragsverarbeiter ausserhalb der EU ansässig ist. Der Data Act gilt für vernetzte Produkte und damit verbundene digitale Dienste, die in der EU verfügbar sind, und verlangt, dass Nutzer einen fairen Zugang zu den durch ihre Nutzung generierten Daten haben. Schliesslich kann NIS 2 anwendbar sein, wenn der Hersteller oder ein unterstützender Dienstleister, wie z. B. ein Cloud-Anbieter, als wesentliche oder wichtige Einrichtung für den EU-Markt gilt.

Zusammengenommen gewährleisten diese extraterritorialen Mechanismen, dass Patienten in der EU einen einheitlichen Schutz in Bezug auf Sicherheit, Transparenz, Cybersicherheit und Datenschutz geniessen, unabhängig davon, wo die Technologie entworfen, entwickelt oder gehostet wird.

  1. III. Anwendbare Regelwerke und wichtigste Verpflichtungen

KI-gestützte Wearables befinden sich an der Schnittstelle mehrerer wichtiger EU-Regelwerke. Jedes davon reguliert einen anderen Aspekt des Produktlebenszyklus, wie klinische Sicherheit, KI-Governance, Datenschutz, Datenzugang und Cybersicherheit, doch sie müssen alle gleichzeitig erfüllt werden. Die folgende Übersicht erläutert, wie diese Gesetze auf das in der Fallstudie vorgestellte Wearable zur Herzfrequenzüberwachung anzuwenden sind.

  1. Verordnung über Medizinprodukte (MDR)

Der tragbare EKG-Sensor und die dazugehörige App gelten gemäss MDR als Medizinprodukte, da sie physiologische Parameter kontinuierlich überwachen und die diagnostische Entscheidungsfindung unterstützen. Gemäss Regel 11 von Anhang VIII MDR fällt Software, die physiologische Daten zur Erkennung von Arrhythmien analysiert, in der Regel unter die Klasse IIa oder IIb, was die Einbeziehung einer benannten Stelle und ein strukturiertes Konformitätsbewertungsverfahren erfordert.

Um die Konformität nachzuweisen, muss der Hersteller gemäss Anhang II und Anhang III MDR eine umfassende technische Dokumentation erstellen und pflegen, die das Design und den Verwendungszweck des Produkts, Risikomanagementprozesse, Cybersicherheitskontrollen, die klinische Bewertung und das System zur Überwachung nach dem Inverkehrbringen umfasst. Diese Aktivitäten müssen durch ein Qualitätsmanagementsystem unterstützt werden, das die Anforderungen von Artikel 10 Absatz 9 MDR erfüllt. Bevor das Produkt in der EU in Verkehr gebracht werden kann, muss es einer entsprechenden Konformitätsbewertung unterzogen werden und die CE-Kennzeichnung gemäss Artikel 20 MDR tragen. Sobald das Produkt in Gebrauch ist, muss der Hersteller ein robustes System zur Überwachung und Vigilanz nach dem Inverkehrbringen betreiben, das regelmässige Sicherheitsupdates und die obligatorische Meldung schwerwiegender Vorfälle umfasst.

Eine wichtige Neuerung für KI-gestützte Medizinprodukte ist Artikel 43 Absatz 3 der KI-Verordnung, der vorsieht, dass Hochrisiko-KI-Systeme, die einen Bestandteil von MDR-regulierten Medizinprodukten bilden, im Rahmen der MDR-Konformitätsbewertung und nicht in einem separaten, eigenständigen Verfahren gemäss KI-Verordnung bewertet werden. Damit sollen beide Anforderungen aufeinander abgestimmt und Doppelspurigkeiten vermieden werden, sodass KI-spezifische Verpflichtungen wie Datenverwaltung, Transparenz, Robustheit, Protokollierung und Massnahmen zur menschlichen Überwachung im Rahmen des bestehenden MDR-Prozesses bewertet werden können.

Diese rechtliche Integration bedeutet jedoch nicht, dass alle benannten Stellen unter der MDR bereits vollständig für die Bewertung der Einhaltung der Anforderungen der KI-Verordnung ausgerüstet sind. In der Praxis benötigen benannte Stellen zusätzliche Benennungen, Akkreditierungen und Fachkenntnisse in Bereichen wie maschinelles Lernen, Datenqualität, KI-Risikomanagement und algorithmische Transparenz. Die Entwicklung harmonisierter Normen, gemeinsamer Spezifikationen und Leitlinien für die KI-Verordnung ist noch im Gange, und die Fähigkeit der benannten Stellen, vollständig integrierte Bewertungen durchzuführen, kann während der Umsetzungsphase erheblich variieren.

Während die MDR den verfahrenstechnischen Rahmen für die Konformitätsbewertung vorgibt, bleibt die effektive operative Integration der Anforderungen der KI-Verordnung daher eine sich ständig weiterentwickelnde Herausforderung, die Hersteller, benannte Stellen und Regulierungsbehörden gemeinsam angehen müssen, sobald die KI-Verordnung vollständig in Kraft tritt.

  1. KI-Verordnung

Das KI-System zur Erkennung von Herzrhythmusstörungen gilt gemäss Artikel 6 Absatz 1 der KI-Verordnung als Hochrisiko-KI-System, da es Teil eines Medizinprodukts ist, das unter die MDR fällt und somit unter eine der in Anhang I aufgeführten Harmonisierungsrechtsvorschriften der EU. Als Anbieter muss der Hersteller umfangreiche Verpflichtungen während des gesamten Lebenszyklus erfüllen, um eine vertrauenswürdige, menschenzentrierte und sichere KI zu gewährleisten. Dazu gehören ein dokumentiertes Risikomanagementsystem, strikte Daten-Governance und Datenqualitätskontrollen, detaillierte technische Dokumentation und Protokollierungsmechanismen sowie klare Massnahmen zur Sicherstellung von Transparenz und menschlicher Aufsicht. Hochrisiko-KI-Systeme müssen ausserdem Anforderungen in Bezug auf Genauigkeit, Robustheit und Cybersicherheit erfüllen und unter einem unterstützenden Qualitätsmanagementsystem betrieben werden, das sowohl mit der KI-Verordnung, als auch mit der MDR im Einklang steht.

Für KI-Systeme, die in Medizinprodukte integriert sind, wird die Konformitätsbewertung gemäss Artikel 43 Absatz 3 der KI-Verordnung im Rahmen des MDR-Konformitätsverfahrens durchgeführt. Die Konformität wird durch die technische Dokumentation gemäss MDR und die EU-Konformitätserklärung dokumentiert, und die CE-Kennzeichnung wird im Rahmen des MDR-Verfahrens angebracht. Aufgrund des adaptiven Charakters und der regelmässigen Aktualisierung von KI-Systemen konzentrieren sich die Konformitätsverpflichtungen sowohl unter der MDR als auch unter der KI-Verordnung insbesondere auf die Phase nach dem Inverkehrbringen, was eine kontinuierliche Überwachung, ein Änderungsmanagement und eine Neubewertung der Risiken nach Modellaktualisierungen erfordert.

Nach der Markteinführung muss der Hersteller ein Überwachungssystem nach dem Inverkehrbringen betreiben und alle schwerwiegenden Vorfälle innerhalb der in Artikel 73 der KI-Verordnung festgelegten Fristen melden.

Auch Betreiber wie Ärzte oder Gesundheitseinrichtungen haben Verpflichtungen. Sie müssen das KI-System gemäss den Anweisungen des Anbieters verwenden, eine sinnvolle menschliche Aufsicht ausüben, die Systemleistung überwachen und vermutete schwerwiegende Vorfälle melden. Im klinischen Kontext dienen die KI-generierten Ergebnisse als Entscheidungshilfen und nicht als Ersatz für professionelles medizinisches Urteilsvermögen, wodurch sichergestellt wird, dass die endgültigen klinischen Entscheidungen weiterhin der menschlichen Beurteilung und Verantwortung unterliegen.

Insgesamt erhöht die KI-Verordnung die Erwartungen an Governance, Transparenz und Rechenschaftspflicht bei KI-gestützten Medizinprodukten erheblich und verpflichtet Hersteller und Betreiber, Risikomanagement, Überwachung und Dokumentation während des gesamten Produktlebenszyklus zu Integrieren.3

  1. DSGVO

Da das Wearable kontinuierlich sensible Gesundheitsdaten erfasst und analysiert, ist die DSGVO anwendbar. Im Zusammenhang mit dem Wearable fungiert der Hersteller in der Regel als Verantwortlicher, da er die Zwecke und wesentlichen Mittel der Verarbeitung festlegt, darunter welche EKG-Daten erfasst werden, wie die KI-gestützte Analyse durchgeführt wird, die Aufbewahrungsfristen und die Sicherheitsmassnahmen. Externe Partner wie Cloud-Anbieter oder KI-Anbieter arbeiten nur nach den dokumentierten Anweisungen des Herstellers und fungieren daher als Auftragsverarbeiter.

Auch Ärzte verarbeiten Patientendaten, wenn sie die vom Gerät generierten Warnmeldungen und Informationen für ihre klinische Arbeit nutzen. Bei diesen Verarbeitungstätigkeiten fungieren sie als unabhängige Verantwortliche, da sie entscheiden, wie die Daten für die Diagnose, Behandlung und Nachsorge interpretiert und verwendet werden. Sie bestimmen jedoch nicht, wie das Wearable Daten erfasst oder wie das KI-System seine Analyse durchführt; diese Aspekte bleiben unter der Kontrolle des Herstellers. Dies führt zu einer typischen Struktur in digitalen Gesundheitslösungen, bei der die Verantwortlichen meist unabhängig voneinander und nicht als gemeinsam Verantwortliche agieren.

Als Verantwortlicher für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Gerät muss der Hersteller sicherstellen, dass die gesamte Verarbeitung von Gesundheitsdaten auf einer gültigen Rechtsgrundlage beruht und den Kernprinzipien der DSGVO entspricht, darunter Notwendigkeit, Verhältnismässigkeit, Zweckbindung und Datenminimierung. Die Einhaltung der Anforderungen der MDR oder der KI-Verordnung ersetzt diese Verpflichtungen nicht und hebt sie nicht auf. Das System muss unter Berücksichtigung des Grundsatzes von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default) konzipiert sein, um sicherzustellen, dass nur Daten verarbeitet werden, die für die Erkennung von Herzrhythmusstörungen und das sichere Funktionieren des Geräts erforderlich sind.

Patienten und Gesundheitsfachkräfte müssen klare und zugängliche Informationen darüber erhalten, wie ihre Daten verarbeitet werden, wer für welche Verarbeitungsvorgänge verantwortlich ist und wie lange die Daten gespeichert werden. Da das Gerät kontinuierlich sensible Gesundheitsdaten überwacht, muss der Hersteller eine Datenschutz-Folgenabschätzung durchführen, um Risiken für die Rechte und Freiheiten der betroffenen Personen zu identifizieren und zu mindern. Wenn externe Dienstleister Daten im Auftrag des Herstellers verarbeiten, müssen diese Beziehungen durch solide Auftragsverarbeitungsverträge geregelt werden.

Die Patienten behalten alle Datenschutzrechte, einschliesslich des Rechts auf Auskunft, Berichtigung und, soweit technisch möglich, Datenübertragbarkeit. Diese Rechte müssen durch intuitive Mechanismen innerhalb der mobilen App und der Backend-Systeme unterstützt werden.

Internationale Datenübermittlungen und grenzüberschreitender Datenzugriff

Angesichts der cloudbasierten Architektur des Wearables und der möglichen Beteiligung von Dienstleistern ausserhalb der EU sind internationale Datentransfers ein strukturelles Merkmal des Systems. Werden personenbezogene Daten ausserhalb der EU übermittelt, muss der Hersteller die Vorschriften der DSGVO für internationale Datentransfers einhalten, wie die Abstützung auf Angemessenheitsbeschlüsse, sofern verfügbar, die Anwendung geeigneter Garantien wie Standardvertragsklauseln und, falls erforderlich, ergänzender technischer und organisatorischer Massnahmen, um einen im Wesentlichen gleichwertigen Schutz zu gewährleisten.

Der Data Act schafft keinen eigenständigen Transfermechanismus und hat keinen Vorrang vor der DSGVO. Wenn Nutzer die Weitergabe von Daten, die durch ihre Nutzung des Geräts generiert wurden, an Dritte ausserhalb der EU beantragen, unterliegt diese Weitergabe weiterhin den geltenden Datenschutzgesetzen und den Schutzmassnahmen zum Schutz von Geschäftsgeheimnissen, Vertraulichkeit und Sicherheit. Der Zugang des öffentlichen Sektors zu Daten im Rahmen des Data Act unterliegt ebenfalls strengen Anforderungen hinsichtlich Notwendigkeit, Verhältnismässigkeit und Vertraulichkeit.

In der Praxis müssen internationaler Datenzugriff und internationale Datenübermittlung daher im Rahmen der DSGVO, des Data Act und der geltenden Cybersicherheitsanforderungen bewertet und von Anfang an in vertragliche Vereinbarungen, die Systemarchitektur und Mechanismen zur Zugriffskontrolle eingebettet werden.

  1. Data Act

Da es sich bei dem Wearable zur Herzfrequenzüberwachung um ein vernetztes Produkt handelt, gilt der Data Act für den Hersteller als Dateninhaber und für Patienten als Nutzer. Nutzer haben das Recht, auf die Daten zuzugreifen, die durch ihre Nutzung des Geräts und der damit verbundenen digitalen Dienste generiert werden. Dazu gehören Rohdaten von Sensoren, wie z.B. EKG-Messwerte, und bestimmte abgeleitete Daten, die direkt im Rahmen der normalen Funktion des Geräts entstehen, jedoch keine Daten, die vom Hersteller durch zusätzliche Analysen oder Anreicherungen erstellt wurden.

Der Hersteller muss diese Daten auf einfache, sichere Weise und, soweit möglich, in Echtzeit in einem strukturierten, maschinenlesbaren Format zur Verfügung stellen. Auf Wunsch des Nutzers muss der Hersteller die Daten unter gleichwertigen technischen Bedingungen auch direkt an einen vom Nutzer benannten dritten Datenempfänger übermitteln.

Werden Daten im Rahmen von Business-to-Business-Beziehungen an Dritte weitergegeben, schreibt der Data Act faire, angemessene und nichtdiskriminierende Vertragsbedingungen vor. Gleichzeitig muss der Hersteller Massnahmen zur Verhinderung von unbefugtem Zugriff und zum Schutz von Geschäftsgeheimnissen ergreifen. Letztere dürfen nur im unbedingt erforderlichen Umfang und unter Einhaltung von Vertraulichkeitsgarantien weitergegeben werden.

Der Data Act gilt parallel zur DSGVO. Da EKG-Daten personenbezogene Daten sind, muss jeder Zugriff oder jede Weitergabe unter dem Data Act alle Datenschutzanforderungen gemäss DSGVO erfüllen. Der Data Act ergänzt daher die Rechte unter der DSGVO, ersetzt sie jedoch nicht.

  1. NIS-2-Richtlinie (falls anwendbar)

Die NIS-2-Richtlinie der EU legt die aktualisierten Vorschriften für Cybersicherheit und die Meldung von Vorfällen für Sektoren fest, die als wesentlich oder wichtig für das Funktionieren der Gesellschaft und der Wirtschaft eingestuft werden. Ihre Anwendbarkeit auf das Wearable und das damit verbundene System hängt von der Art der Tätigkeiten ab, die von den relevanten Akteuren durchgeführt werden.

NIS 2 gilt nicht automatisch für Hersteller von Medizinprodukten, da die Herstellung von Medizinprodukten nicht in Anhang I oder II aufgeführt ist. Der Hersteller in unserer Fallstudie fällt daher standardmässig nicht in den Anwendungsbereich von NIS 2, es sei denn, er wird von einem Mitgliedstaat als kritisch eingestuft oder übt zusätzliche Tätigkeiten aus, die unter die Richtlinie fallen.

Dagegen fällt der Cloud-Dienstleister, der das Backend des Wearables unterstützt, wahrscheinlich in den Anwendungsbereich von NIS 2, da Cloud-Computing-Dienste als wesentliche Einrichtungen aufgeführt sind. Gesundheitsdienstleister, die das Gerät verwenden, können ebenfalls der Richlinie unterliegen, wenn sie die geltenden Kriterien erfüllen.

Unternehmen, die der NIS 2 unterliegen, müssen angemessene und verhältnismässige Massnahmen zum Cybersicherheits-Risikomanagement umsetzen und ein stufenweises System zur Meldung von Vorfällen einhalten. Selbst wenn der Hersteller selbst nicht der Richtlinie unterliegt, bleibt eine enge Abstimmung mit seinen Partnern, die unter NIS 2 fallen, unerlässlich, da Cybersicherheitsvorfälle, welche die mit dem Wearable verbundene Umgebung betreffen, unter verschiedenen Regelwerken rechtliche Auswirkungen haben und Pflichten nach sich ziehen können.

  1. Zusammenspiel und Vergleich der Regelwerke
  2. Überschneidungen und verstärkende Synergien

Einige Verpflichtungen unter den verschiedenen Gesetzen stimmen weitgehend überein, sodass Hersteller einheitliche Prozesse entwickeln können, welche die Anforderungen mehrerer Rahmenwerke gleichzeitig erfüllen. Sowohl unter der MDR als auch unter der KI-Verordnung sind Risikomanagement, technische Dokumentation, Transparenz, menschliche Aufsicht und Überwachung nach dem Inverkehrbringen wichtige Elemente. Im Zusammenhang mit Wearables bildet das Qualitätsmanagementsystem der MDR eine natürliche Grundlage für die Einbindung der Lebenszykluskontrollen der KI-Verordnung, insbesondere für die Protokollierung, Rückverfolgbarkeit und kontinuierliche Leistungsüberwachung des KI-Systems zur Erkennung von Herzrhythmusstörungen.

Die DSGVO legt ihr Hauptaugenmerk auf den Schutz personenbezogener Daten, verstärkt jedoch auch viele der Anforderungen der KI-Verordnung. Die Vorgaben der DSGVO zu Datenqualität, Datenschutz durch Technikgestaltung und Rechenschaftspflicht ergänzen die Erwartungen der KI-Verordnung an eine robuste Daten-Governance, Reproduzierbarkeit und klare Informationen für Anwender wie Ärzte. Beim Wearable können Massnahmen zum Datenschutz durch Technikgestaltung, die zur Erfüllung der DSGVO-Pflichten eingeführt wurden, wie Datenminimierung und Zugriffskontrolle, auch die Zuverlässigkeit des KI-Systems verbessern und das Risiko voreingenommener oder unangemessener Ausgaben verringern.

Die Beziehung zwischen der DSGVO und dem Data Act ist ähnlich komplementär. Beide stärken die Kontrolle der betroffenen Person über die vom Gerät generierten Daten, wenn auch mit unterschiedlichen Zielen: Die DSGVO konzentriert sich auf den Schutz der Rechte und Freiheiten der betroffenen Personen, während der Data Act sicherstellt, dass Benutzer auf die durch ihre Nutzung des Geräts generierten Daten zugreifen und diese weitergeben können. Beim Wearable zur Herzfrequenzmessung gelten diese Rechte parallel: Patienten können unter beiden Gesetzen Zugang zu ihren EKG-Daten beantragen, aber jede Weitergabe unterliegt weiterhin den Schutzbestimmungen der DSGVO.

Die Interoperabilitätsanforderungen gemäss Data Act können auch die Ziele der MDR unterstützen, indem sie die Generierung von Real-World-Evidence erleichtern und eine effektivere Überwachung nach dem Inverkehrbringen ermöglichen. Gleichzeitig nehmen Cybersicherheit und die Meldung von Vorfällen in allen Regelwerken einen wichtigen Platz ein. Die MDR-Vigilanz, die Meldung schwerwiegender Vorfälle gemäss KI-Verordnung, die Meldung von Datenschutzverletzungen unter der DSGVO und die Meldepflichten gemäss NIS 2 unterstreichen gemeinsam die Notwendigkeit einer koordinierten, gut geregelten Struktur zur Reaktion auf Vorfälle, die die gesamte vernetzte Umgebung des Geräts umfasst.

  1. Mögliche Spannungsfelder

Trotz dieser Übereinstimmungen können in einigen Bereichen Spannungsfelder auftreten. Der Fokus auf Transparenz in der KI-Verordnung, einschliesslich aussagekräftiger Informationen für Betreiber, muss gegen die Anforderungen der DSGVO hinsichtlich Datenminimierung und den Schutz von Geschäftsgeheimnissen abgewogen werden. Transparenzmassnahmen, wie z.B. Protokolle zur Nachverfolgung von KI-Entscheidungen, müssen daher so gestaltet sein, dass sie die klinische Überwachung unterstützen, ohne unnötig personenbezogene Daten oder sensible algorithmische Details preiszugeben, die sowohl durch die KI-Verordnung, als auch durch die DSGVO geschützt sind.

Die Nutzerzugangsrechte des Data Act können auch zu Spannungen gegenüber den klinischen Sicherheitsverpflichtungen unter der MDR führen. Patienten können Zugang zu rohen EKG-Daten oder algorithmischen Ergebnissen verlangen, die bei falscher Interpretation zu unnötiger Angst oder einer unsachgemässen Selbstdiagnose führen könnten. Der Data Act gewährt den Nutzern zwar weitreichende Zugangsrechte, erkennt jedoch auch an, dass die Zugriffsmechanismen die Sicherheit und das ordnungsgemässe Funktionieren des Produkts nicht beeinträchtigen dürfen. Dies steht im Einklang mit der MDR, die es Herstellern erlaubt, bei Bedarf angemessene Einschränkungen anzuwenden, um die Patientensicherheit und die Leistung der Geräte zu gewährleisten. Der Zugang muss daher sorgfältig ausgestaltet werden, um die Rechte der Nutzer zu wahren und gleichzeitig klinisch verantwortlich zu sein.

Schliesslich unterscheiden sich die Anforderungen hinsichtlich Datenaufbewahrung zwischen den verschiedenen Regelwerken. Die KI-Verordnung verlangt Lebenszyklusprotokolle zur Unterstützung der Rückverfolgbarkeit und der Überwachung nach dem Inverkehrbringen, und die MDR schreibt erweiterte Aufbewahrungspflichten für die Überwachung nach dem Inverkehrbringen vor. Im Gegensatz dazu bestimmt die DSGVO, dass personenbezogene Daten nur so lange wie nötig gespeichert werden dürfen. Der Hersteller muss daher die Aufbewahrungsfristen so begründen, dass sie den betrieblichen und sicherheitstechnischen Anforderungen der MDR und der KI-Verordnung entsprechen und gleichzeitig die Grundsätze der Verhältnismässigkeit und Minimierung der DSGVO einhalten.

  1. Komplementaritäten und Chancen

Trotz dieser Herausforderungen bietet das Zusammenspiel der Regelwerke Chancen für eine kohärente und effiziente Compliance-Architektur. Ein einheitliches Qualitäts- und Risikomanagementsystem kann als zentrale Struktur für die Erfüllung der Verpflichtungen unter der MDR und der KI-Verordnung dienen und gleichzeitig die Datenschutzmassnahmen der DSGVO und die Anforderungen des Data Act an den Nutzerzugang berücksichtigen. Bei Wearables ermöglicht ein solches integriertes System dem Hersteller, Risikokontrollen, Datenflüsse, die Leistung des KI-Systems und die klinische Sicherheit in einer einzigen, koordinierten Governance-Umgebung zu dokumentieren.

Eine Datenschutz-Folgenabschätzung (DSFA) gemäss DSGVO ersetzt zwar nicht den Risikomanagementprozess der KI-Verordnung, kann jedoch wertvolle Erkenntnisse liefern, insbesondere in Bezug auf Risiken für die Rechte der betroffenen Personen und den Kontext der Verarbeitung personenbezogener Daten, die in die umfassendere lebenszyklusorientierte Analyse gemäss KI-Verordnung einfliessen können. Umgekehrt können die Dokumentation und die Überwachung nach dem Inverkehrbringen gemäss KI-Verordnung Elemente der klinischen Bewertung und der Überwachung nach dem Inverkehrbringen gemäss MDR unterstützen. Ebenso können die Anforderungen des Data Act an Interoperabilität und Portabilität genutzt werden, um die Transparenz zu erhöhen und die Qualität der zur Sicherheitsüberwachung und Verfeinerung der Algorithmen verwendeten realen Daten zu verbessern.

Insgesamt sind die regulatorischen Rahmenbedingungen vorzugsweise nicht als konkurrierende oder isolierte Anforderungen zu verstehen, sondern als sich gegenseitig verstärkendes Regelsystem. Mit einem ganzheitlichen Ansatz ermöglichen sie es den Herstellern, KI-gestützte Medizinprodukte zu entwickeln, die nicht nur gesetzeskonform, sondern auch nachweislich sicher, vertrauenswürdig und transparent sind und Patientenrechte respektieren – Eigenschaften, die für die langfristige Einführung digitaler Gesundheitstechnologien von zentraler Bedeutung sind.

  1. Zusammenspiel von Haftung und Durchsetzung

Jedes auf KI-gestützte medizinische Wearables anwendbare Regelwerk hat seine eigenen Durchsetzungs- und Haftungsmechanismen, die in der Praxis jedoch zusammenwirken und sich gegenseitig unterstützen können. Für Hersteller bedeutet dies, dass Verstösse gegen Vorschriften, Vorfälle oder sogar gesetzliche Offenlegungen im Rahmen eines Regelwerks Konsequenzen für die staatliche Durchsetzung, die zivilrechtliche Haftung, Vertragsstreitigkeiten und das Reputationsrisiko haben können.

Gemäss DSGVO unterliegen Verantwortliche und Auftragsverarbeiter neben einer möglichen zivilrechtlichen Haftung auch Verwaltungsstrafen, Korrekturmassnahmen und verbindlichen Anordnungen der Datenschutzbehörden. Die KI-Verordnung führt ein vergleichbares administratives Durchsetzungsmodell für Hochrisiko-KI-Systeme ein, das erhebliche Geldstrafen, Korrekturmassnahmen und in schweren Fällen die Rücknahme nicht konformer Systeme vom Markt umfasst. Die Durchsetzung der MDR erfolgt durch Marktüberwachungsbehörden und benannte Stellen, deren Befugnisse von Korrekturmassnahmen und Rückrufen bis hin zur Aussetzung oder Rücknahme vom Markt von Geräten mit CE-Kennzeichnung reichen. Im Gegensatz dazu konzentriert sich der Data Act auf die Durchsetzung durch Zugangsrechte, vertragliche Fairnesspflichten und Rechtsbehelfe bei unrechtmässiger Verweigerung oder missbräuchlicher Verwendung geteilter Daten.

Bei KI-gestützten Medizinprodukten ersetzen diese Regelungen sich nicht gegenseitig, sondern ergänzen sich vielmehr. Eine einzige Fehlfunktion, ein Cybersicherheitsvorfall oder ein Versagen in der Governance kann daher gleichzeitig Überprüfungen im Rahmen mehrerer Regelwerke auslösen. Ein KI-bezogener Sicherheitsvorfall, der im Rahmen der MDR-Vigilanz oder der Verpflichtungen der KI-Verordnung zur Meldung schwerwiegender Vorfälle gemeldet wird, kann auch zu Datenschutzuntersuchungen, Vertragsstreitigkeiten oder zivilrechtlichen Ansprüchen führen, wenn Patienten geschädigt werden oder es zu Betriebsunterbrechungen kommt. Behördliche Feststellungen im Rahmen eines Regelwerks können zudem Informationen für Verfahren im Rahmen eines anderen Regelwerks liefern, selbst wenn die rechtlichen Standards unterschiedlich sind.

Ein wichtiger Aspekt für Hersteller ist die Beweisfunktion von Compliance-Dokumentationen. Die KI-Verordnung verlangt für Hochrisiko-KI-Systeme eine umfassende technische Dokumentation, Protokollierung und Überwachung nach dem Inverkehrbringen. Diese Unterlagen sind nicht nur unerlässlich für den Konformitätsnachweis, sondern schaffen auch detaillierte Aufzeichnungen über Designentscheidungen, Risikobewusstsein und Risikominderungsmassnahmen, auf die man sich bei Durchsetzungsmassnahmen oder Zivilprozessen stützen kann, um Wissen, Vorhersehbarkeit und Kontrolle zu beurteilen. Eine integrierte Compliance erfordert daher nicht nur eine umfassende Dokumentation, sondern auch eine sorgfältige Governance hinsichtlich der Erfassung von Risiken und verbleibenden Unsicherheiten.

Menschliche Aufsicht schliesslich ist von zentraler Bedeutung für die Einhaltung der DSGVO und der KI-Verordnung, stellt jedoch keinen vollständigen Haftungsschutz dar. Gerichte und Behörden können prüfen, ob die Aufsicht in der Praxis wirksam ist oder ob die klinischen Arbeitsabläufe dazu führen, dass de facto KI-Empfehlungen ohne menschliche Prüfung übernommen werden. Die Sicherstellung, dass die Aufsichtsmechanismen wirksam sind, dokumentiert und durch Schulungen unterstützt werden, ist daher nicht nur für die Einhaltung der Vorschriften, sondern auch für die Minderung des Haftungsrisikos von entscheidender Bedeutung.

  1. Automatisierte Entscheidungsfindung und menschliche Aufsicht

Der Anwendungsfall der Herzfrequenzüberwachung veranschaulicht die enge Wechselwirkung zwischen den Datenschutzbestimmungen der DSGVO in Bezug auf automatisierte Entscheidungsfindung und den Anforderungen der KI-Verordnung hinsichtlich menschlicher Aufsicht. Während das KI-System automatisch Arrhythmien erkennt und Warnmeldungen generiert, bleiben klinische Entscheidungen weiterhin Aufgabe des medizinischen Fachpersonals. Diese Konzeption ist unerlässlich, um alleiniges Vertrauen auf automatisierte Entscheidungen zu vermeiden, die rechtliche oder ähnlich bedeutsame Auswirkungen im Sinne der DSGVO haben, und um die Anforderungen der KI-Verordnung hinsichtlich einer wirksamen menschlichen Aufsicht über Hochrisiko-KI-Systeme zu erfüllen.

In der Praxis erfordert eine sinnvolle menschliche Aufsicht mehr als nur die formale Möglichkeit einer Intervention. Ärzte müssen klare, umsetzbare Informationen über die Rolle, die Grenzen und die Zuverlässigkeit des KI-Systems erhalten und in der Lage sein, die Ergebnisse der KI zu übersteuern oder zu ignorieren, wenn dies klinisch angemessen ist. Die kombinierte Anwendung der Schutzmassnahmen unter der DSGVO und der Aufsichtsmechanismen der KI-Verordnung stärkt daher den Patientenschutz und bewahrt gleichzeitig die klinische Verantwortlichkeit.

  1. Ein pragmatischer Weg zu integrierter Compliance

Die Erfüllung der Gesamtheit der Verpflichtungen unter der MDR, der KI-Verordnung, der DSGVO, dem Data Act und, sofern zutreffend, der NIS-2-Richtlinie erfordert einen Compliance-Ansatz, der sowohl ganzheitlich als auch operativ realistisch ist. Das Wearable zur Herzfrequenzüberwachung veranschaulicht eine allgemeine Tendenz in der Medizintechnik: Traditionelles Qualitätsmanagement allein reicht nicht mehr aus, und fragmentierte, silobasierte Compliance-Strukturen führen zu Ineffizienzen, doppelten Dokumentationen und inkonsistenter Risikosteuerung. Eine pragmatische Strategie konzentriert sich daher auf Integration, klare Zuweisung von Verantwortlichkeiten und koordinierte Aufsicht über den gesamten Lebenszyklus des Geräts und seines KI-Systems.

  1. Rollenzuweisung und Systemabbildung

Ausgangspunkt ist eine klare Erfassung und Abbildung der Rollen unter den verschiedenen Regelwerken und der Systeminteraktionen. Im Falle eines Wearables fungiert der Hersteller in der Regel gleichzeitig als Hersteller unter der MDR, Anbieter unter der KI-Verordnung, Verantwortlicher unter der DSGVO und Dateninhaber unter dem Data Act, während medizinische Fachkräfte als Betreiber unter der KI-Verordnung und als unabhängige Verantwortliche unter der DSGVO für die klinische Nutzung der Daten fungieren. Cloud-Anbieter, KI-Zulieferer und andere Partner müssen je nach ihrer Funktion als Auftragsverarbeiter, Dienstleister oder Händler klassifiziert werden.

Die Dokumentation dieser Rollen sowie ein stets aktuelles Inventar der KI-Systemen, Gerätekomponenten und Datenflüsse schaffen ein gemeinsames Referenzmodell. So kann nachvollzogen werden, wo welche Verpflichtungen liegen, wie Verantwortlichkeiten über die verschiedenen Regelwerke hinweg zusammenwirken und wo letztendlich die Rechenschaftspflicht liegt.

  1. Ein einheitliches Qualitäts- und Compliance-Managementsystem

Das Qualitätsmanagementsystem der MDR bietet eine natürliche Grundlage für die Integration von Verpflichtungen über verschiedene Regelwerke hinweg. Anstatt separate Governance-Strukturen für KI, Datenschutz, Cybersicherheit und Datenzugang zu betreiben, kann der Hersteller die MDR-Qualitätsmanagementsysteme (QMS) zu einem umfassenderen Qualitäts- und Compliance-Managementsystem (QCMS) ausbauen.

Ein solches System integriert:

  • die Lebenszyklus-Anforderungen der KI-Verordnung, einschliesslich Risikomanagement, Transparenz, Protokollierung und Daten-Governance,
  • die Verpflichtungen unter der DSGVO wie Datenschutz durch Technikgestaltung, Datenschutz-Folgenabschätzungen und Vereinbarungen zwischen Verantwortlichen und Auftragsverarbeitern,
  • Mechanismen des Data Act für Nutzerzugriff, Interoperabilität und faire Vertragsbedingungen sowie
  • NIS-2-Vorschriften in Bezug auf Cybersicherheits-Governance und Meldung von Vorfällen, sofern zutreffend.

Dieser Ansatz vermeidet parallele Prozesse und stellt sicher, dass Design, Entwicklung, Vertrieb und Aktivitäten nach der Markteinführung mit allen regulatorischen Anforderrungen im Einklang stehen.

  1. Koordinierter Rahmen für die Risikobewertung

Obwohl jedes Regelwerk seine eigene Form der Risikoanalyse vorschreibt, überschneiden sich diese Bewertungen erheblich. Das MDR-Risikomanagement konzentriert sich auf die klinische Sicherheit und die Patientensicherheit; die KI-Verordnung befasst sich mit Risiken für Gesundheit, Sicherheit und Grundrechte, die sich aus dem Verhalten von KI ergeben; die Datenschutz-Folgenabschätzungen gemäss DSGVO bewerten Risiken für die Rechte und Freiheiten der betroffenen Personen; der Data Act fügt Risiken im Zusammenhang mit Zugang, Wiederverwendung und Missbrauch der vom Gerät generierten Daten hinzu; und NIS 2 führt Risiken im Bereich Cybersicherheit und Lieferkette ein.

Die Zusammenführung dieser verschiedenen Blickwinkel in einem einzigen Risikoregister schafft einen kohärenten Überblick über die Risikolandschaft und reduziert Doppelspurigkeiten. Eine DSFA gemäss DSGVO ersetzt nicht das Risikomanagement der KI-Verordnung, kann dieses jedoch durch die Identifizierung von mit Datenschutzrechten verbundenen Risiken und kontextbezogenen Faktoren ergänzen. Umgekehrt kann die Dokumentation des Lebenszyklus gemäss KI-Verordnung die klinische Bewertung und die Überwachung nach dem Inverkehrbringen gemäss MDR unterstützen. Ein koordiniertes Risikomanagement trägt dazu bei, dass Massnahmen zur Risikominderung konsistent und verhältnismässig sind und sich gegenseitig unterstützen.

  1. Integrierte technische Dokumentation

Ein einheitlicher Dokumentationsansatz optimiert die Compliance weiter. Auf der Grundlage der Anhänge II–III der MDR können Hersteller technische Dokumentationen und Protokolle gemäss KI-Verordnung, DSGVO-Unterlagen (wie Datenschutz-Folgenabschätzungen und technische und organisatorische Massnahmen) sowie Nachweise unter dem Data Act in Bezug auf Nutzerzugang, Interoperabilität und vertragliche Fairness integrieren. Gegebenenfalls können organisatorische und Cybersicherheitsdokumentationen zur Unterstützung der NIS-2-Verpflichtungen einbezogen werden.

Die Aufbewahrung dieses Materials in einer einzigen, kontrollierten technischen Dokumentation vereinfacht die Interaktion mit benannten Stellen, Marktüberwachungs- und Datenschutzbehörden und bietet internen Teams gleichzeitig eine klare und einheitliche Nachweisdokumentation.

  1. Daten-Governance und Kontrolle des Nutzerzugangs

Eine effektive Daten-Governance muss die Zugriffs- und Portabilitätsrechte der DSGVO, die Nutzerzugangsrechte des Data Act, die Sicherheitsanforderungen der MDR und die Transparenzverpflichtungen der KI-Verordnung in Einklang bringen. Der Zugriff auf rohe EKG-Daten oder die Ausgaben von KI-Systemen muss so gestaltet sein, dass ein rechtmässiger Zugang möglich ist, gleichzeitig aber die Sicherheit der Nutzer gewährleistet ist und Fehlinterpretationen vermieden werden. Zudem müssen Transparenzmassnahmen verhindern, dass unnötige personenbezogene Daten oder proprietäre algorithmische Informationen offengelegt werden.

Klare Benutzeroberflächen, angemessene Sicherheitsvorkehrungen und klar definierte Vertragsbedingungen tragen dazu bei, dass Datenaustausch, Portabilität und klinische Verantwortung aufeinander abgestimmt bleiben.

  1. Abstimmung von Konformitätsbewertung und Meldung von Vorfällen

Angesichts der Überschneidungen der verschiedenen Regelwerke sollten die Konformitätsbewertungsverfahren von Anfang an aufeinander abgestimmt werden. KI-gestützte Medizinprodukte folgen dem MDR-Konformitätsprozess und berücksichtigen gleichzeitig die Anforderungen der KI-Verordnung, sodass ein einziges, kohärentes Dossier eingereicht werden kann.

Auch die Meldung von Vorfällen profitiert von der Integration. Die MDR-Vigilanz, die Meldung schwerwiegender Vorfälle gemäss KI-Verordnung, die Meldung von Datenschutzverletzungen unter der DSGVO und die Meldung von Cybersicherheitsvorfällen gemäss NIS 2 unterliegen unterschiedlichen Auslösern und Fristen. Ein zentraler Workflow für die Reaktion auf Vorfälle gewährleistet eine zeitnahe Eskalation, eine einheitliche Kommunikation und ein geringeres Risiko von Lücken.

  1. Vertragliche Abstimmung und Lieferantenmanagement

Hersteller sind auf Cloud-Anbieter, KI-Zulieferer, Analysepartner und andere Lieferanten angewiesen. Diese Beziehungen müssen die kombinierten Anforderungen der MDR, der KI-Verordnung, der DSGVO, des Data Act und der NIS 2 widerspiegeln. Modulare Vertragsvorlagen können Verantwortlichkeiten klar zuweisen, z.B. Kooperationspflichten gemäss KI-Verordnung, Verpflichtungen für Auftragsverarbeiter gemäss DSGVO, Zugangs- und Vertraulichkeitsanforderungen gemäss Data Act, Lieferantenkontrollen gemäss MDR und Cybersicherheitserwartungen gemäss NIS 2, ohne dass es zu Doppelspurigkeiten oder Widersprüchen bei den Verpflichtungen kommt.

  1. Überwindung organisatorischer Silos durch funktionsübergreifende Governance

Eine der grössten praktischen Herausforderungen für MedTech-Unternehmen ist die organisatorische Fragmentierung. Teams in den Bereichen Qualitätssicherung, Regulatory Affairs, Datenschutz, Cybersicherheit, KI-Governance, Clinical Affairs und Compliance arbeiten oft mit unterschiedlichen Prioritäten, Terminologien und Prozessen, was zu inkonsistenter Dokumentation und unklaren Risikoverantwortlichkeiten führt.

Um dem entgegenzuwirken, richten Unternehmen einen funktionsübergreifenden KI- und Daten-Governance-Ausschuss ein. Dieses Gremium sollte aus dem Compliance-Verantwortlichen, den Leitern der Bereiche Regulatory Affairs und Qualitätssicherung, dem Datenschutzbeauftragten, den Verantwortlichen für KI-Risiken und Modell-Governance, IT- und Cybersicherheitsspezialisten, Experten für klinische Sicherheit und Rechtsberatern bestehen. Der Ausschuss dient als Entscheidungs- und Koordinierungsmechanismus, überprüft Risikobewertungen, gleicht die Dokumentation über verschiedene gesetzliche Regelwerke hinweg ab, koordiniert die Reaktion auf Vorfälle und sorgt für ein gemeinsames Verständnis der gesetzlichen Verpflichtungen. Regelmässige Schulungen, transparente Kommunikation und strukturierte Entscheidungsprozesse tragen dazu bei, eine einheitliche Compliance-Kultur über alle Funktionen hinweg zu fördern.

  1. Abschliessende Überlegungen

KI-gestützte medizinische Wearables stehen für eine Transformation im digitalen Gesundheitswesen. Sie kombinieren kontinuierliche physiologische Überwachung, Echtzeitanalysen und klinische Entscheidungsunterstützung auf eine Weise, die eine frühere Diagnose, eine individuellere Versorgung und bessere Ergebnisse für Patienten verspricht. Diese Fortschritte gehen jedoch mit einem regulatorischen Umfeld einher, das von Natur aus interdisziplinär ist: Die Sicherheit von Medizinprodukten, KI-Governance, Datenschutz, Cybersicherheit und Datenzugangsrechte überschneiden sich während des gesamten Lebenszyklus des Produkts.

Wie dieser Artikel aufgezeigt hat, kann die Einhaltung der MDR, der KI-Verordnung, der DSGVO, des Data Act und, soweit relevant, der NIS 2 nicht durch isolierte Arbeitsabläufe erreicht werden. Jedes Regelwerk führt Verpflichtungen ein, die sich gegenseitig beeinflussen und verstärken, von Transparenz und menschlicher Aufsicht bis hin zu Interoperabilität, Datenschutz durch Technikgestaltung, Risikomanagement und Überwachung nach dem Inverkehrbringen. Für den Hersteller eines KI-gestützten Wearables zur Herzfrequenzüberwachung prägen diese Regelwerke gemeinsam das Design, die Entwicklung, die Markteinführung und den laufenden Betrieb des Systems.

Die sich abzeichnende Best Practice ist daher eine integrierte Compliance-Architektur, die auf einem einheitlichen Qualitäts- und Governance-System, koordinierten Risikobewertungen, konsolidierter technischer Dokumentation und funktionsübergreifender Aufsicht basiert. Ein solcher Ansatz reduziert nicht nur Doppelspurigkeiten und beseitigt organisatorische Silos, die die Umsetzung oft behindern, sondern unterstützt auch eine kohärente, evidenzbasierte Entscheidungsfindung während des gesamten Produktlebenszyklus.

Entscheidend ist, dass ein integrierter Ansatz auch der effektivste Weg zur künftigen Sicherstellung der Compliance ist. Da die Pflichten der KI-Verordnung in Bezug auf Hochrisiko-KI-Systeme schrittweise wirksam werden und die Erwartungen an die Durchsetzung in den Bereichen Datenschutz, Cybersicherheit und Datenaustausch steigen, werden Unternehmen, die heute harmonisierte Prozesse implementieren, in den kommenden Jahren besser in der Lage sein, Konformitätsbewertungen, Marktzugang und behördliche Kontrollen effizient zu meistern.

Letztendlich ist integrierte Compliance mehr als eine regulatorische Notwendigkeit. Sie ist die Grundlage für vertrauenswürdige Innovation. Durch die Verankerung von Sicherheit, Datenschutz, Transparenz und Verantwortlichkeit im Kern KI-gestützter Medizintechnologien können Hersteller das Vertrauen der Patienten stärken, die klinische Anwendung unterstützen und zu einem widerstandsfähigeren und vertrauenswürdigeren digitalen Gesundheitssystem in der gesamten EU beitragen.

Dieser Artikel wurde im Rahmen des Mentoring-Programms des Cybersecurity Advisors Network (CyAN) verfasst. Weitere Informationen über das Programm finden Sie hier.

Footnotes

1 Haftungsausschluss: Dieser Artikel dient ausschliesslich allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Er basiert auf den zum Zeitpunkt der Erstellung geltenden rechtlichen Rahmenbedingungen. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder fortdauernde Gültigkeit der Informationen übernommen. Bevor Entscheidungen auf der Grundlage dieses Inhalts getroffen werden, empfehlen wir, die offiziellen Gesetzestexte zu konsultieren und unabhängigen professionellen Rat einzuholen.

2 Zum Zeitpunkt der Erstellung dieses Artikels diskutiert die EU einen sogenannten «Digital Omnibus», der den Zeitplan und gewisse Durchführungsbestimmungen für die KI-Verordnung und andere digitale Gesetze ändern könnte. Die Analyse in diesem Artikel konzentriert sich jedoch auf den Inhalt und das Zusammenspiel der Regelwerke und behält ihre Gültigkeit, unabhängig vom genauen Datum, an dem bestimmte Verpflichtungen in Kraft treten.

3 Hinweis zur Grundrechte-Folgenabschätzung (GRFA): Während die KI-Verordnung eine obligatorische GRFA für bestimmte Hochrisiko-KI-Systeme gemäss Anhang III einführt, gilt diese Verpflichtung nicht für KI-Systeme, die ausschliesslich unter Anhang I als Teil von Medizinprodukten gemäss der MDR reguliert sind. Bei KI-gestützten Medizinprodukten werden Grundrechtsaspekte stattdessen durch das kombinierte Wirken des klinischen Risikomanagements gemäss MDR, des Risikomanagements gemäss KI-Verordnung und der Datenschutzgarantien gemäss DSGVO berücksichtigt.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Daniela Fabian
Daniela Fabian
Person photo placeholder
Domonkos Mester-Csiki
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More